一、用户与组介绍
1.1、用户账户
    Windows的用户帐户是对计算机用户身份的识别，且本地用户帐户和密码信息是存储在本地计算机上的（即由：安全账户管理器【Security Accounts Manager】负责SAM数据库的控制和维护；SAM数据库则是位于注册表的【计算机\HKEY_LOCAL_MACHINE\SAM\SAM】下，受到ACL保护），SAM文件在【C:\Windows\System32\config】路径下。SAM对应的进程：lsass.exe 。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。 不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码，用户帐户拥有唯一的安全标识符(Security Identifier，SID)。
如果我们去进程管理里面杀死 lsass.exe 进程时，windows会提示遇到错误，然后关机。


1.2、组账户
    组账户是一些用户的集合；且组内的用户自动拥有组所设置的权限。
①组账户是用户账户的集合，用于组织用户账户；
②为一个组授予权限后，则该组内的所有成员用户自动获得改组的权限；
③一个用户账户可以隶属于多个组，而这个用户的权限就是所有组的权限的合并集。

二、用户账户与组账户
2.1、用户账户
用户账户分为两种类型：【本地用户账号】和【全局用户账号(也叫：域用户账号)】
    ①本地用户账号是创建于本地计算机（它的作用范围：仅仅限于创建它的计算机，控制用户对本地计算机上的资源访问）。
    ②全局用户账号创建于域服务器，可以在网络中的任意计算机上加入域后使用，使用范围是整个域网络。
2.1.1、Windows 默认用户账户
    Windows的默认用户账户用于特殊用途，一般不用更修改其权限。


拥有的权限大小：System > Administrator > User > Guest


2.1.2、用户账户的查看、创建和提升权限


2.2、组账户
2.2.1、Windows内置的组账户



动态包含成员内置组的成员由Windows程序“自动添加” ，Windows会根据用户的状态来决定用户所属的组 ，组内的成员也随之动态变化，无法修改 。

2.2.2、组的查看、创建和删除




三、访问控制
    Windows的访问控制列表(Access Control List)：访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹，由安全描述符(SD)规定了安全数据、安全描述符决定安全设置是否对当前目录有效，或者它可以被传递给其他文件和目录。
    当一个用户试图访问一个文件或者文件夹的时候，NTFS 文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表（ACL）中。如果存在，则进一步检查访问控制项 ACE，然后根据控制项中的权限来判断用户最终的权限。


3.1、Windows的访问控制


3.2、可以使用命令查看账号的SID

3.3、用户账户控制（UAC）
    用户帐户控制（User Account Control，简称：UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。原理是：通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统的效果。 UAC要求用户在执行可能影响计算机运行的操作或执行更改影响其他用户的设置的操作之前，提供一个确认的对话框窗口，使用户可以在执行之前对其进行验证，UAC可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。